Administratorzy Bezpieczeństwa Informacji

Jakiś czas temu na stronach Generalnego Inspektora Ochrony Danych Osobowych można było przeczytać: "Generalny Inspektor Ochrony Danych Osobowych pozyskał informację o praktyce, polegającej na przeprowadzaniu przez urząd miasta – w ramach audytu wewnętrznego – kontroli (...)"

Dużo się dzieje. Wiemy już że wczoraj 14 kwietnia 2016 r. klepnięto unijne przepisy o ochronie danych osobowych. U samego źródła na europa.eu czytamy: "New EU rules for personal data protection – European Parliament final adoption Today the European Parliament adopted the Data Protection Reform Package, which was presented by the European Commission in January 2012...." 

Byłem w niejednej Kancelarii Prawnej i przyznam, że nie dziwię się, że taka afera się pojawia. Poczta na gmail, dokumenty na dropboxie, brak szyfrowania dysków laptopów, poczta na telefonie bez zabezpieczeń - to tylko przykłady. Sejf - owszem - w każdej. Ale zabezpieczenia informatyczne - raczej słabo... Śmiem nawet podejrzewać, że nawet duże kancelarie nie mają takich zabezpieczeń jak choćby nieduża instytucja finansowa... - może to jest jakaś nisza dla specjalistów od bezpieczeństwa informacji? 

Warto zwrócić uwagę na ciekawą kampanię społeczną mBanku nazwaną „Uważni w sieci”. Celem kampanii jest uświadomienie internautom, jakie zagrożenia mogą na nich czyhać w internecie. Więcej informacji jest tutaj

Iwona Ryniewicz, dyrektor Departamentu Komunikacji i Strategii Marketingowej mBanku, o akcji mówi tak:

Na stronie GIODO dowiadujemy się, kto i dlaczego będzie kontrolowany w tym roku. Dowiadujemy się tam, że kontrole sektorowe będą przeprowadzone m.in. w kancelariach prawnych i starostwach powiatowych oraz organach uprawnionych do korzystania z Systemu Informacji Celnej.

Tam gdzie został powołany administrator bezpieczeństwa informacji, zostaną skierowane wystąpienia o dokonanie sprawdzień - wystąpienia będą kierowane do:

Junipera większość z kojarzy z firmowymi firewallami i urządzeniami pozwalającymi na dostęp do firmowej sieci komputerowej z dowolnego miejsca na świecie. Niedawno okazało się, że do tej sieci mógł dostać się w zasadzie... każdy...  A co więcej - mógł odszyfrować szyfrowany ruch połączeń VPN zestawianych przez te urządzenia.

Czy baza adresów to zbiór danych osobowych? Wydawałoby się, że nie. A gdyby z adresem była powiązana jakaś ciekawa informacja o tym, że ktoś (nie wiemy oczywiście kto) zamawia przesyłki za pobraniem, a później ich nie odbiera?

Korzystając z tego że wczoraj Święto Zmarłych a dzisiaj Zaduszki warto przypomnieć że osoba fizyczna to prawne określenie człowieka w prawie cywilnym; jest to człowiek od chwili urodzenia do śmierci. W konsekwencji ustawa o ochronie danych osobowych obejmuje dane osobowe osób żyjących i nie dotyczy osób zmarłych.

W sprawozdaniu GIODO za 2012r., s.197 ten fakt podkreśla się dobitnie:

Wczoraj Rada UE, niejednogłośnie, ale w końcu -- przyjęła podejście ogólne do projektu ogólnego rozporządzenia o ochronie danych. Umożliwia ono rozpoczęcie "trilogów" (dialogów trójstronnych) i czyni zakończenie prac jeszcze w tym roku realnym.

Przyjęcie tzw. podejścia ogólnego pozwala myśleć o zakończeniu prac nad tym niezwykle ważnym dla obywateli aktem prawnym jeszcze w 2015 roku - powiedział po zakończeniu obrad wiceminister Jurand Drop.

W zasadzie prawie że na każdym lotnisku można z łatwością poznać listę współpasażerów. Wystarczy postać chwilę przy bramce do wejścia na pokład samolotu... A przecież wystarczyłby wygaszacz ekranu (np. bąbelki), włączany po minucie i nie zabezpieczany hasłem, nieprawdaż?

Na szczęście poza imieniem, nazwiskiem i płcią nic więcej sie nie ujawnia... :)

Komisja Sprawiedliwości i Praw Człowieka /SPC/ zaopiniowała wnioski w sprawie powołania na stanowisko Generalnego Inspektora Ochrony Danych Osobowych (druk nr 3225).Lista kandydatów zawierała dwa nazwiska:

Tyle się pisze i mówi o tym, że płacenie kartami zbliżeniowymi jest niebezpieczne, straszne i w ogóle. Co i rusz widzę w sklepach osoby z ponacinanymi kartami (aby nie dało się płacić w ten sposób) albo co najmniej odmawiających płacenia zbliżeniowo.

Na stronie BIP Ministerstwa Administracji i Cyfryzacji pojawił się projekt rozporządzenia w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania  przepisów o ochronie danych osobowych.

Z projektu dowiadujemy się, że 

Na stronie KNF dowiadujemy się, że KNF jednogłośnie wydała wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w m.in.: 

Rada UE przyjęła częściowe podejście ogólne w zakresie rozdziału IV ogólnego rozporządzenia o ochronie danych. Ministrowie z państw członkowskich przeprowadzili także debatę orientacyjną w zakresie prawa do bycia zapomnianym. Krótka informacja dotycząca rady znajduje się na stronie MAiC: https://mac.gov.pl/aktualnosci/minister-roman-dmowski-o-ochronie-danych-....

Czy to dane osobowe, czy dane firmowe, czy jakiekolwiek inne informacje - warto mieć plan postępowania w przypadku naruszenia bezpieczeństwa.